2017년 공격 활동 순위에 팬시 베어가 1위, 라자루스가 2위 올라
중국의 스톤 판다는 10위로 밀려나... “탐지 못하는 것일 수도”

[보안뉴스 오다인 기자] 작년에 가장 왕성하게 활동한 위협 행위자는 팬시 베어(Fancy Bear)와 라자루스(Lazarus) 그룹이었다고 보안 전문가들이 보고했다. 팬시 베어와 라자루스가 활동량을 늘린 반면, 중국 기반 위협 행위자들의 활동은 줄었다.


보안업체 에일리언볼트(AlienVault)는 자사의 ‘OTX(Open Threat Exchange)’ 플랫폼에 수집되는 정보를 활용해 지난해 위협 패턴을 폭넓게 조망했다. OTX는 에일리언볼트의 위협 인텔리전스 공유 플랫폼이다. 에일리언볼트는 2017년에 가장 많이 언급된 위협 조직이 팬시 베어였다고 밝혔다. 팬시 베어는 소파시(Sofacy)와 APT28로도 알려져 있다.

10년 전, 팬시 베어의 주요 타깃은 북대서양조약기구(NATO)와 각국의 국방 부처였다. 지난 3년간 팬시 베어는 기업, 개인, 미국과 프랑스의 선거 등으로 타깃을 확대해왔다. 미국 정부에서 유출된 정보와 독일 정부에서 공식 발표한 바에 따르면, 팬시 베어는 러시아 군사 정보기관과 연관된 위협 조직으로 추정된다.

두 번째로 활발했던 조직은 라자루스였다. 라자루스는 조선민주주의인민공화국, 즉 북한이 운영하는 조직으로 추정된다.

보안업체 크라우드스트라이크(CrowdStrike)의 공동설립자 겸 최고기술책임자(CTO) 드미트리 알페로비치(Dmitri Alperovitch)는 “예전에는 보안 연구자들이 북한의 사이버 공격자라고 하면 중국이나 러시아 같은 전통적인 정부 지원 해커들만큼 정교하지 않다고 생각했다”고 말했다.

그러나 그는 2017년에 나타난 사이버 작전들이 거의 매달 북한과 관련됐다는 사실을 지적하면서 “최근 몇 년간 북한 정권은 사이버 역량을 기르고 개발하는 데 엄청난 자원을 투자해왔고 결과적으로 매우 발전했다”고 설명했다. 라자루스는 워너크라이(WannaCry)의 배후로 지목됐으며, 은행 및 암호화폐 거래소 해킹에도 관여됐다.

크라우드스트라이크는 라자루스가 총 4개의 그룹으로 구성돼있다는 사실을 발견했다. 1)조용한 천리마(Silent Chollima), 2)별똥 천리마(Stardust Chollima), 3)미로 천리마(Labyrinth Chollima), 4)물수제비 천리마(Ricochet Chollima) 등 4개다. 대부분의 위협 행위자들은 타깃이 분명한 공격이나 사이버 스파이 작전에 집중하는 경향을 띠지만, 북한의 위협 행위자들은 좀 다르다. 작년 북한의 주요 타깃은 남한이었으나 다른 지역도 빈번하게 공격한 것으로 보인다.

보안업체 피델리스 사이버시큐리티(Fidelis Cybersecurity)의 위협 시스템 매니저인 존 밤베넥(John Bambenek)은 이들 조직의 동기가 경제적 이득일 것이라고 말했다. 밤베넥은 “본질적으로 우리는 조직범죄에 대처하고 있는 셈”이라며 “언젠가는 이들이 대가를 지불하게 될 것”이라고 말했다.

최근 들어 북한의 공격자들은 암호화폐에 주목하기 시작했다. 상용 기기를 겨냥하거나 컴퓨팅 파워를 활용해서 암호화폐를 채굴하는 시도가 점점 더 많아지고 있다. “통화 규제로 심하게 묶여있는 나라일수록 비트코인과 같은 암호화폐는 수익 창출에 좋은 수단이 된다”는 것이 밤베넥의 분석이다.

정부 지원을 받는 위협 행위자들의 목표는 조직마다 다르다. 예컨대, 돈을 벌고자 하는 공격자는 암호화폐 거래소를 겨냥하는 반면, 선거에 지장을 주려는 공격자는 소셜 미디어를 겨냥해 허위 정보를 퍼뜨린다. 밤베넥은 공격의 목표가 “지정학적 환경에 달렸다”고 설명했다.

중국의 위협 조직은 왜 활동이 뜸해졌나
에일리언볼트에 따르면, 스톤 판다(Stone Panda)는 2017년 위협 행위자 활동 순위에서 10위까지 밀려났다. 스톤 판다는 중국이 배후로 지목되는 최상위급 공격자 조직으로, APT10 또는 클라우드호퍼(CloudHopper)로도 불린다. 에일리언볼트의 위협 엔지니어 크리스 도만(Chris Doman)은 스톤 판다의 순위가 “3년 전만 해도 매우 달랐다”고 짚었다.

작년, 중국의 위협 조직은 서구 기업들을 향한 공격 횟수 자체를 매우 줄였다. 공격 활동을 중단하라는 정치적인 압력이나 합의에 따른 것일 수도 있지만, 이들의 공격이 탐지하기에 어려워졌다는 뜻일 수도 있다. 스톤 판다는 대형 IT 서비스 제공업체를 해킹하는 수법으로 타깃을 공격하는데, 보안업체나 정부기관은 이런 방식을 탐지하기 어렵다.

도만은 중국의 UPS가 서구에서 자국 내로 타깃을 변경한 사실을 언급하며, “중국 조직의 활동은 계속해서 줄어드는 것처럼 보일 수도 있다”고 말했다. UPS는 보유섹(Boyusec) 또는 APT3으로도 알려져 있다.

우리는 무엇을 걱정해야 하는가?
알페로비치는 북한의 위협 조직이 기업 브랜드나 네트워크에 가할 수 있는 위험에 대해 우려해야 한다고 경고했다.

“북한 공격자들은 예측할 수 없게 움직입니다. 다음 공격 시 어떻게 움직일 것인지 짐작할 수 없습니다.” 알페로비치는 “기업들이 해킹 가능성과 관련해 자사 시스템을 지속적으로 추적해야 하고, 실제 피해가 발생하기 전에 보안 조치를 개선해놓는 것이 중요하다”고 강조했다.

밤베넥은 산업제어시스템(ICS) 기반 공격들이 발생할 수 있다면서 위협 조직들이 ICS 영역에 점점 더 많이 집중하게 될 것이라고 전망했다. 그는 “누군가는 이런 시설을 인질 삼아 돈을 요구할 것”이라고 경고했다. 밤베넥은 “깃허브(GitHub)에 트리톤(Triton)이 공개되면서, ICS 공격의 난이도가 급격하게 낮아졌다는 점을 기억해야 한다”고 덧붙였다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>